漏洞概述 漏洞ID: CVE-2026-48133 漏洞名称: Identity Awareness Captive Portal - Unauthenticated Local File Inclusion 漏洞类型: 未认证的本地文件包含 严重程度: 高 影响范围 产品: Security Gateways 版本: - R77.20 (EOS) - R77.30 (EOS) - R80.10 (EOS) - R80.20 (EOS) - R80.30 (EOS) - R80.40 (EOS) - R81 (EOS) - R81.10 (EOS) - R81.20 - R82 - R82.10 症状 当启用带有浏览器基础认证的Identity Awareness刀片时,未认证用户可能能够读取安全网关上的某些内部文件。 受影响的具体版本: - R82.10 with Jumbo Hotfix Take 6 或更低 - R82 with Jumbo Hotfix Take 91 或更低 - R81.20 with Jumbo Hotfix Take 127 或更低 - 所有从 R81.10 及以下的版本 修复方案 缓解措施 保持 Identity Awareness captive portal 配置为仅内部(默认设置)。 配置步骤: 1. 在 SmartConsole 中,进入 Gateways and Servers 视图。 2. 双击适用的 Security Gateway 或集群对象。 3. 在左侧导航窗格中,选择 Identity Awareness。 4. 选择 Browser-Based Authentication,并点击 Settings。 5. 进入 Access Settings 并点击 Edit。 6. 进入 Accessibility 并点击 Edit。 7. 选择 Through internal interfaces。 8. 在所有窗口中点击 OK 并安装策略。 解决方案 问题已修复,修复包含在以下 Jumbo Hotfix Accumulator 中: - R82.10 从 Take 19 开始 - R82 从 Take 103 开始 - R81.20 从 Take 141 开始 文章属性 访问级别: General 严重程度: High 状态: Approved 创建日期: 2026-05-24 最后修改日期: 2026-05-26